黑客一词,源于英文Hacker,原指热心于计算机技术,专门寻找系统的漏洞并找出修补方法的计算机技术痴迷者,他们都是水平高超的电脑专家,尤其是程序设计人员。但是还有一部分人是喜欢攻击系统入侵系统破坏系统和盗窃系统中有用数据的人,这部分人有时被称为“Cracker",有人翻译成“骇客”。现代社会的发展,使得计算机网络越来越普及,虽然黑客依然是一个特殊的群体,但已经并不像当初那么神秘了,往往掌握了几个黑客工具的使用方法一些电脑爱好者,便到处自称“黑客”去了。所以到了现在,我们平时说到“黑客”时,以及下面要讲到的“黑客”,一般都是指那些利用自身掌握的计算机技术,攻击入侵破坏系统和盗窃系统有用数据的人。
知己知彼,百战不殆。要防止黑客攻击给我们的系统带来损害,我们首先要了解黑客的入侵和攻击手段。
黑客常用入侵手段
入侵行为主要是指对系统资源的非授权使用,常见入侵手段有以下几种:木马入侵、漏洞入侵
1、木马入侵
什么是木马?木马不属于病毒,病毒是设计来对电脑中的各种软硬件进行破坏行为的程序。而木马是设计藏在电脑中进行特定工作或依照黑客的想跳楼作来进行某些工作的程序。它是一个C/S结构的程序,运行在黑客的电脑上的是client端,运行在目标电脑上的是server端。当目标电脑连上互联网后,Client端会发给Server端信息,然后听候黑客指令,执行黑客指令。
机器中木马的原因大概有以下几种:
A、黑客入侵后植入,如利用NetBIOS入侵后植入。
B、利用系统或软件(IE,Outlook Express)的漏洞植入。
B、寄电子邮件后植入,寄一封夹带木马程序的信件,只要收件者没有警觉心、不注意网络安全而运行它就可可能成功植入。或通过即时聊天软件(如QQ),发送含木马的链接或者文件,接受者运行后木马就被成功植入。(不过现在腾讯也越来越重视安全了,最新版2006版就不允许发送可执行文件。并且登录时使用了键盘加密保护技术。)
C、在自己的网站上放一些伪装后的木马程序,宣称它是好玩的或者有用的工具等名目,让不知情的人下载后运行后便可成功植入木马程序,这点有点象姜太公钓鱼,愿者上钩。
木马被植入后黑客可以进行那些动作?这必须看黑客选用的木马程序而定。一般我们说的木马程序多半是指功能强大且完整的工具,如冰河、SubSever等。他们通常可以进行如下黑客任务:
A:复制各类文件或电子邮件(可能包含商业秘密、个人隐私)、删除各类文件、查看被黑者电脑中的文件,就如同使用资源管理器查看一样。
B:转向入侵(redirection Intrusion),利用被黑者的电脑来进入其他电脑或服务器进行各种黑客行为,也就是找个替罪羊。
C:监控被黑者的电脑屏幕画面,键盘想跳楼作来获取各类密码,例如进入各种会员网页的密码、拨号上网的密码、网络银行的密码、邮件密码等。
D:远程遥控,想跳楼作对方的windows系统、程序、键盘。
预防方法:及时给系统打布丁,不随意打开来历不明的邮件,不随意下载和运行不明软件,打开杀毒软件的即时监控功能。由以上木马植入方式可以看出,黑客的成功其实多半时利用使用者的疏忽与不重视网络安全而造成的,并非无法阻挡,只要上网时多小心,黑客是很难得逞的。
2、漏洞入侵
漏洞顾名思义就是有缺陷的地方,而所谓的系统或软件的漏洞当然就是在程序设计上的问题或考虑不够周密(也可算是bug),造成黑客可以利用这些漏洞有机可乘的进行入侵、攻击或其他黑客任务,象微软的windows,IE,IIS等产品,都有许多的漏洞。黑客通常是利用在有漏洞的软件中下达命令、利用针对该漏洞的工具、自己设计的针对该漏洞的工具等方式来利用此漏洞入侵、攻击或其他黑客行为。不同的漏洞产生的原因与用法千奇百怪,差别很大,怎样利用该漏洞也是取决于漏洞本身,利用该漏洞能执行什么样的黑客行为也取决于该漏洞本身的特性,不好一概而论。 比较著名的漏洞入侵如Unicode漏洞入侵,跨站脚本入侵,sql注入入侵等。
预防方法:及时升级你的系统,及时给系统打补丁。补丁是漏洞的修补程序,一般某种漏洞被发现并公布后,系统厂商就会考虑及时修补该系统,于是发布补丁包。及时打补丁不但可以预防黑客入侵,还可以阻止病毒入侵,因为有些病毒就是针对系统的漏洞进行传播、攻击的。
黑客常用的攻击手段
常用的攻击手段有协议欺骗攻击、口令攻击、缓冲区溢出攻击、拒绝服务攻击。
1、协议欺骗攻击
协议欺骗攻击技术是针对网络协议的缺陷,采用某种欺骗的手段,假冒身份以截获信息或取得特权的攻击方式。主要的协议欺骗攻击方式有IP欺骗 、ARP欺骗、DNS欺骗、源路由欺骗等:
A:IP欺骗攻击:IP欺骗技术就是通过伪造某台主机的IP地址骗取特权从而进行攻击的技术。
B: ARP欺骗攻击:ARP欺骗攻击就是利用ARP协议漏洞,通过伪造IP地址和MAC地址实现ARP欺骗的攻击技术。
C: DNS欺骗攻击:攻击者采用种种欺骗手段,使用户查询DNS服务器进行域名解析时获得一个错误的地址结果,从而可将用户引导到错误的互联网站点,或者发送一个电子邮件到一个未经授权的邮件服务器等,这就是DNS欺骗。
D: 源路由欺骗攻击:通过指定路由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主机出现错误动作,这就是源路由欺骗攻击。
预防方法:针对不同的协议欺骗攻击方式,应该采取不同的安全防护措施。但由于这些协议欺骗攻击,基本上都是基于IP、路由的,所以我们应该使用安全性能高的路由器,并设置好路由器、网关等,针对不同协议攻击方式配置好相应的系统安全策略。有可能的话加密所有对外的数据流,对网络信息的传输进行适当限制。
2、口令攻击
口令攻击,并不是一种具体的攻击方式,而是一类攻击的总称,这类攻击的攻击目标都是口令。具体方式有以下几种:
A:社会工程学(social Engineering),通过人际交往这一非技术手段来获取口令。
避免此类攻击的对策是加强用户意识。
B:手工猜测,通过正常的网络登录(如Telnet等)来尝试口令。
C:暴力攻击(Brute Force attack),尝试所有口令字符串的组合方式,(例如数字、字母等)。
D:字典攻击(Dictionary attack),根据字典文件中提供的可能的字符串值进行尝试。
E:混合攻击,结合了字典攻击和暴力攻击,先字典攻击,再暴力攻击。
避免以上四类攻击的对策是加强口令策略。
F:网络嗅探(sniffer),通过嗅探器在局域网内嗅探明文传输的口令字符串。避免此类攻击的对策是网络传输采用加密传输的方式进行。
G:键盘记录,在目标系统中安装键盘记录后门,记录想跳楼作员输入的口令字符串。
H:其他攻击方式,中间人攻击、重放攻击、生日攻击、时间攻击。
避免以上几类攻击的对策是加强用户意识,采用安全的密码系统。
可见,绝对安全的密码是不存在的,我们只能设计和使用相对安全的密码,但是我们的密码策略可以使破解它花费的时间等代价使巨大的(比如破解某个密码要花费几十年的时间),使黑客望而却步。
3、缓冲区溢出漏洞攻击(Buffer Overflow Attack)
由于内存缓冲区中填充的数据越界而导致程序流程改变,在原有进程权限下执行黑客注入的恶意代码,使之得到系统控制权。如果程序允许用户输入,但又不对输入长度进行校验,就会有此漏洞。
预防方法:对系统开发者而言,在程序设计的时候,对输入长度进行校验。对系统使用者而言,要及时给系统打补丁。
4、拒绝服务攻击(Denial of Service,DoS)
拒绝服务攻击并不是一种具体的攻击方式,而是所表现出来的结果,就像其字面意义那样,攻击者可以采用种种手段,最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务,甚至导致物理的瘫痪或崩溃。
A:Smurf攻击原理,攻击者冒充受害主机的IP地址,向一个大的网络发送echo request的定向广播包,此大网络的许多主机都作出回应,受害主机会收到大量的echo reply消息。
B:SYN Flooding攻击原理,基于TCP连接的三次握手过程,正常的连接是这样建立的:第一步,攻击者主机通过一个同步标志置位的数据段发出会话请求;第二步,受害主机回复;第三步,攻击者主机再回送一个数据段,并带有确认顺序号和确认号。这样一个TCP连接就建立了。而如果攻击者主机使用的是无效的IP地址,那么那么在第二步执行完后,受害主机就会处于开放会话的请求之中,但会话并未真正完成。受害主机必须等待连接超时,之后才能清除未完成的会话记录,此期间,受害主机连续接收额外的会话请求,最终,受害主机因为耗尽用来管理会话的资源而停止响应。
C:分布式拒绝服务攻击(Distributed denial-of-service,DDoS)攻击原理,是一种新型的攻击手段,攻击者攻破了多个系统(slave或者叫肉鸡)并利用这些系统去集中攻击其他目标。成百上千的主机发送大量的请求,受害设备因为无法处理而拒绝服务。
D:Ping of Death:构造出重组缓冲区大小的异常的IP分片包(ICMP类型)。
E:Teardrop:利用OS处理分片重叠报文的漏洞。
F:Land攻击:向某个设备发送数据包,源IP地址和目的IP地址相同,都是攻击目标的地址。
预防方法:对于拒绝服务攻击,目前没有特别有效的预防方法。部署防火墙和入侵检测系统可以起到一定的预防作用。
除了上述这些主要的攻击入侵方式,黑客还有很多其他的攻击方式,比如网络钓鱼,邮件炸弹等,还有很多非技术性攻击方式,如通过人际交往手段欺骗盗取,在电脑系统垃圾箱中清理寻找到相关机密信息等。随着网络的普及,技术的进一步发展,种种新的攻击方式也将层出不穷,而且攻击手段也变得越来越先进,黑客工具也越来越复杂,同时更加自动化。 |